L’avenir de la sécurité des technologies d’exploitation : PatchAssure et le programme TCA de Doble ouvrent la voie
Le secteur des services d’énergie étant de plus en plus tributaire des technologies d’automatisation, il est essentiel de veiller à ce que les systèmes régissant les technologies opérationnelles (TO) soient protégés contre les cybermenaces. Dans le paysage actuel de la cybersécurité en 2023, les services d’énergie sont confrontés à un nombre croissant de cyberattaques sophistiquées qui peuvent perturber les opérations, entraîner des pertes financières et même constituer un risque pour la sécurité publique[1].
Colonial Pipeline, important transporteur de carburant entre le Texas et l’Est des États-Unis, a été victime d’une attaque de ransomware par le groupe DarkSide en mars 2021 [2]. Cette attaque a entraîné le cryptage des données de l’entreprise, suivi d’une demande de rançon. Cette perturbation de l’approvisionnement en carburant a provoqué une frénésie d’achat dans les stations-service des zones touchées. La résolution de l’attaque, au cours de laquelle Colonial Pipeline a fini par payer la rançon, a mis en évidence l’impact significatif que les cyberattaques peuvent avoir sur certaines infrastructures critiques comme celles du secteur des services d’énergie.
Pour faire face à ces menaces, les services d’énergie doivent se conformer aux normes de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) [3]. Ces normes, qui sont obligatoires pour tous les services réglementés par le NERC, définissent des exigences spécifiques à la protection des systèmes et des données d’exploitation, qui sont essentielles au bon fonctionnement du réseau électrique. L’un des aspects de la conformité au CIP du NERC est la mise en œuvre de mesures de cybersécurité robustes pour empêcher tout accès non autorisé aux systèmes de gestion des opérations. Cela comprend des mesures telles que la segmentation du réseau, le contrôle d’accès et les plans d’intervention en cas d’incident. Les services doivent également évaluer et tester régulièrement leurs contrôles de sécurité TO pour s’assurer de leur efficacité. L’une des normes du cadre CIP du NERC est la norme CIP-010-4 [4]qui définit les exigences en matière de protection des équipements informatiques essentiels. Ces équipements se définissent comme « les systèmes, équipements et données des technologies de l’information et de la communication dont la perte, la compromission ou l’utilisation abusive aurait un effet négatif grave sur le fonctionnement du réseau électrique ».
Doble propose des solutions telles que PatchAssure™ [5] et le programme Transient Cyber Asset (TCA) [6] afin d’aider les services d’énergie à résoudre ces difficultés et à se conformer aux réglementations CIP du NERC.
Doble PatchAssure est une solution complète de gestion des correctifs qui peut aider les services d’énergie à répondre aux exigences de la norme NERC CIP-007-6 R2 : Gestion des correctifs de sécurité.
Voici quelques-unes des principales caractéristiques de Doble PatchAssure :
1. Gestion automatisée des correctifs : Doble PatchAssure automatise le processus d’identification, de téléchargement et d’installation des correctifs et des mises à jour pour les équipements informatiques du système de production d’électricité, ce qui permet de gagner du temps et d’économiser des ressources qui devraient autrement être consacrées à des processus manuels.
2. Rapports de conformité : Doble PatchAssure fournit des rapports de conformité détaillés qui peuvent aider les services d’énergie à suivre leur progression dans l’objectif du respect des exigences de la norme NERC CIP-007-6 R2 et à démontrer leur conformité aux organismes de réglementation.
3. Vérification de l’authenticité des correctifs et des mises à jour : Doble PatchAssure comprend des outils permettant de vérifier l’authenticité des correctifs et des mises à jour, avec des méthodes telles que les signatures numériques, les contrôles de hachage ou d’autres techniques de cryptographie. Ces outils peuvent garantir que seuls les correctifs et mises à jour authentiques et non modifiés sont installés sur les équipements informatiques du système de production d’électricité.
4. Blocage de l’installation des correctifs et mises à jour non approuvés : Doble PatchAssure comprend des processus de vérification d’approbation des correctifs et des mises à jour de logiciels avant leur installation, ainsi que des systèmes de contrôle, comme des pare-feu ou des contrôles d’accès, pour empêcher l’installation ou l’exécution de logiciels non autorisés. Ces contrôles peuvent être utilisés pour empêcher l’installation de correctifs et de mises à jour non approuvés sur les équipements informatiques du système de production d’électricité.
Globalement, Doble PatchAssure est une solution puissante et complète de gestion des correctifs qui peut aider les services d’énergie à répondre aux exigences de la norme NERC CIP-007-6 R2 et à maintenir l’intégrité et l’authenticité des logiciels utilisés sur les équipements informatiques du système de production d’électricité et à protéger ces actifs des cybermenaces.
Le programme Transient Cyber Asset (TCA) peut aider les services d’énergie de plusieurs manières :
1. Les TCA peuvent représenter une méthode sécurisée et contrôlée pour accéder et contrôler les équipements informatiques du système de production d’électricité : Les TCA peuvent être équipés de contrôles de sécurité comme le chiffrement, les contrôles d’accès et les contrôles de la gestion des appareils, et peuvent être surveillés et gérés de façon centralisée, ce qui permet de s’assurer qu’ils sont utilisés de manière sûre et contrôlée.
2. Les TCA peuvent contribuer à améliorer l’efficacité des opérations des services d’énergie : En offrant au personnel un moyen sûr et pratique d’accéder aux équipements informatiques du système de production d’électricité et de les contrôler, les TCA peuvent contribuer à améliorer l’efficacité des opérations des services d’énergie et à réduire le risque d’erreurs ou de retards.
3. Les TCA peuvent aider les services d’énergie à se conformer aux exigences réglementaires telles que les normes CIP du NERC, qui comprennent des exigences relatives à la protection des TCA contre les risques de cybersécurité.
Dans l’ensemble, les programmes TCA peuvent aider les services d’énergie à améliorer la sécurité et l’efficacité de leurs opérations et à se conformer aux exigences réglementaires.
Avec des solutions comme Doble PatchAssure et des programmes comme le programme Transient Cyber Asset, les services d’énergie peuvent mieux atténuer le risque de cyberattaques et protéger leurs opérations et leurs clients. Ces solutions peuvent aider les services d’énergie à sécuriser leurs systèmes opérationnels face aux vulnérabilités connues et à mettre en place un dispositif de cybersécurité solide pour se protéger des futures menaces. En outre, les entreprises de services d’énergie peuvent également tirer profit des meilleures pratiques décrites dans le document de cybersécurité, [7]un ensemble de lignes directrices volontaires, consensuelles et dirigées par le secteur, élaborées par le ministère de la Sécurité intérieure des États-Unis en réponse au décret 13800 [8].
Références :
- Executive Order 13636, « Improving Critical Infrastructure Cybersecurity » (Améliorer la cybersécurité des infrastructures critiques). La Maison Blanche. (Consulté le 08/02/2023)
- Cyberattaque sur un oléoduc américain et son impact sur les prix du pétrole. iasscore.in. (Consulté le 08/02/2023)
- Le NIST et la North American Electric Reliability Corporation publient un guide sur la cybersécurité des réseaux électriques. National Institute of Standards and Technology. (Consulté le 08/02/2023)
- Normes de fiabilité aux États-Unis. North American Electric Reliability Corporation. (Consulté le 08/02/2023)
- Doble PatchAssure. Doble. (Consulté le 08/02/2023)
- Doble TCA. Doble. (Consulté le 08/02/2023)
- Document de cybersécurité. National Institute of Standards and Technology. (Consulté le 08/02/2023)
- Executive Order 13800, « Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure » (Renforcement de la cybersécurité des réseaux fédéraux et des infrastructures critiques). Agence pour la cybersécurité et la sécurité des infrastructures. (Consulté le 08/02/2023)